Starknet-gebaseerde zkLend wordt gehackt, meer dan $9 miljoen gestolen

Het gedecentraliseerde leningsprotocol zkLend verloor meer dan $9 miljoen nadat een hacker de slimme contracten van het protocol had uitgebuit.

Volgens een aankondiging van 12 februari heeft het op Starknet gebaseerde protocol eerder vandaag het beveiligingsincident gemeld en aangegeven dat het interne team de zaak onderzoekt.

Inmiddels heeft zkLend alle opnames opgeschort en een onderzoek gestart in samenwerking met meerdere beveiligingsteams, waaronder de Starknet Foundation, StarkWare, Binance Security Team en Hypernative Labs, en de wetshandhaving.

Er is nog geen post-mortem gepubliceerd over hoe de exploit tot stand is gekomen.

Volgens eerste schattingen van het beveiligingsbedrijf Cyvers liepen de verliezen op tot $ 4,9 miljoen. In een latere update gaf het bedrijf echter aan dat de totale verliezen meer dan $ 9 miljoen bedroegen.

De aanvaller zou de gestolen activa naar Ethereum hebben overgebracht en geprobeerd hebben ze te witwassen via de op privacy gerichte mixservice Railgun.

Vanwege de interne beleidsregels van Railgun werd een deel van de fondsen echter terugbetaald naar het oorspronkelijke adres.

Herstelwerkzaamheden

Naast de lopende onderzoeken heeft zkLend de hacker een beloning aangeboden.

Het project stuurde een bericht op de blockchain naar de aanvaller, waarin werd voorgesteld om 10% van de gestolen activa te behouden zonder dat er juridische stappen werden ondernomen, als de aanvaller de overige 90% zou teruggeven.

Hiermee hoopt zkLend 3.300 ETH of ongeveer $ 8,6 miljoen van de verloren fondsen te recupereren, op basis van de huidige marktprijzen.

Dergelijke beloningen worden vaak aangeboden door slachtoffers van exploits in de DeFi-sector en leiden in enkele gevallen zelfs tot het terugvinden van fondsen.

Zo bood het protocol Euler Finance na de hack van $ 196 miljoen in maart 2023 een beloning van $ 1 miljoen aan voor de hacker. Uiteindelijk kwam de hacker tot een overeenkomst met Euler en gaf hij het grootste deel van het gestolen geld terug.

Wat betreft het incident met zkLend heeft de hacker tot 00:00 UTC op 14 februari de tijd om te reageren. Daarna heeft het project beloofd de zaak te escaleren naar de wetshandhaving en de inspanningen om de hacker op te sporen te intensiveren.

De tweede DeFi-exploit van deze week

De exploitatie van vandaag is de tweede grote aanval in de DeFi-ruimte deze week. Slechts een dag eerder werd de BNB-chain-gebaseerde memecoin-deployer Four.Meme geëxploiteerd, wat leidde tot het opschorten van de lancering van liquiditeitspools op PancakeSwap.

De schade door de aanval was echter veel minder groot. Volgens eerste schattingen werden er BNB-tokens ter waarde van ongeveer $ 200.000 gestolen.

Zoals eerder gemeld door Invezz, stegen cryptohacks in januari 2025 met meer dan negen keer vergeleken met de vorige maand. Er werd meer dan $73 miljoen gestolen door kwaadwillende partijen, hoewel het aantal een daling van 44% laat zien vergeleken met januari 2023.

De BNB-chain werd het meest aangevallen, met 10 gemelde aanvallen, gevolgd door Ethereum.